Меню

Настройка ssl в was



Включение SSL для всех клиентов, взаимодействующих с веб-сайтом в IIS

В этой статье описано, как включить протокол SSL для всех клиентов, взаимодействующих с вашим веб-сайтом в службах Microsoft Internet Information Services (IIS).

Исходная версия продукта: Службы IIS
Исходный номер статьи базы знаний: 298805

Сводка

В этой статье рассматриваются следующие темы:

  • Как настроить и включить сертификаты сервера, чтобы клиенты могли быть уверены, что ваш веб-сайт действителен, а любая информация, которую они отправляют, остается конфиденциальной и конфиденциальной.
  • Использование сторонних сертификатов для поддержки протокола SSL (Secure Sockets Layer), а также общий обзор процесса, используемого для создания запроса подписи сертификата (CSR), который используется для получения сертификата стороннего производителя.
  • Включение подключения SSL для веб-сайта.
  • Использование протокола SSL для всех подключений и настройка требуемой длины шифрования между клиентами и веб-сайтом.

Вы можете использовать функции безопасности SSL веб-сервера для двух типов проверки подлинности. Вы можете использовать сертификат сервера , чтобы разрешить пользователям выполнять проверку подлинности веб-сайта, прежде чем передавать персональные данные, например номер кредитной карты. Кроме того, вы можете использовать сертификаты клиентов для проверки подлинности пользователей, запрашивающих информацию на веб-сайте.

В этой статье предполагается, что для проверки подлинности на веб-сервере будет использоваться сторонний центр сертификации (CA).

Чтобы включить проверку сертификата сервера SSL и обеспечить уровень безопасности, требуемый клиентам, необходимо получить сертификат из стороннего центра сертификации. Сертификаты, выданные вашей организации сторонним центром сертификации, обычно привязаны к веб-серверу, а именно к веб-сайту, на котором вы хотите присоединить SSL. Вы можете создать свой собственный сертификат на сервере IIS, но если это сделать, клиенты должны явно доверять вас как центру сертификации.

Статья предполагает следующее:

  • Установлены службы IIS.
  • Вы создали и опубликовали веб-сайт, который вы хотите защитить с помощью протокола SSL.

Получение сертификата

Чтобы начать процесс получения сертификата, необходимо создать CSR. Это можно сделать с помощью консоли управления IIS; Поэтому необходимо установить службы IIS, прежде чем можно будет создать CSR. Представитель по обслуживанию клиентов по сути является сертификатом, который создается на сервере, который проверяет сведения о сервере при запросе сертификата из стороннего центра сертификации. Представитель по обслуживанию клиентов — это просто зашифрованное текстовое сообщение, которое шифруется с помощью открытого и закрытого ключа.

Как правило, следующие сведения о компьютере включены в создаваемый представитель по обслуживанию клиентов:

  • Организация
  • Подразделение
  • Страна
  • State
  • Расположение
  • Общее имя

Обычно общее имя состоит из имени ведущего компьютера и домена, к которому он относится, например XYZ.com. В этом случае компьютер является частью com-домена и называется XYZ. Это может быть корневой сервер для корпоративного домена или просто веб-сайт.

Создание CSR

Доступ к консоли управления IIS (MMC). Для этого щелкните правой кнопкой мыши значок Мой компьютер и выберите пункт Управление. Откроется консоль управления компьютером. Разверните раздел службы и приложение . Откройте консоль IIS и разверните консоль IIS.

Выберите конкретный веб-сайт, на котором необходимо установить сертификат сервера. Щелкните сайт правой кнопкой мыши и выберите пункт Свойства.

Перейдите на вкладку Безопасность каталога . В разделе безопасная связь выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.

Выберите создать новый сертификат и нажмите кнопку Далее.

Выберите подготовить запрос сейчас, чтобы отправить его позже, а затем нажмите кнопку Далее.

В поле имя введите имя, которое вы можете запомнить. По умолчанию будет задано имя веб-сайта, для которого создается представитель по обслуживанию клиентов.

При создании CSR необходимо указать длину в битах. Длина ключа шифрования определяет стойкость зашифрованного сертификата, отправляемого в сторонний центр сертификации. Чем выше длина, тем сильнее шифрование. Большинство сторонних центров сертификации предпочитают не менее 1024 бит.

В разделе сведения об организации введите сведения об организации и подразделении. Это должно быть точным, так как вы представляете эти учетные данные для стороннего центра сертификации, и вам необходимо соблюдать условия их лицензирования. Нажмите кнопку Далее , чтобы открыть раздел Общее имя вашего сайта .

Раздел » Общее имя» сайта отвечает за привязку сертификата к веб-сайту. В разделе SSL-сертификаты введите имя главного компьютера с именем домена. Для серверов интрасети вы можете использовать NetBIOS-имя компьютера, на котором размещается сайт. Нажмите кнопку Далее , чтобы получить доступ к сведениям о местоположении.

Введите сведения о стране, штате, крае и стране или регионе. Полностью произношение штата, Республики и страны или региона; не используйте аббревиатуры. Нажмите кнопку Далее.

Сохраните файл в формате txt.

Подтвердите сведения о запросе. Нажмите кнопку Далее , чтобы завершить работу мастера сертификатов веб-сервера.

Запрос сертификата

Существует несколько способов отправки запроса. Обратитесь к поставщику сертификата, чтобы использовать этот метод, и Определите оптимальный уровень сертификата для ваших потребностей. В зависимости от выбранного метода отправки запроса в центр сертификации, вы можете отправить файл CSR из действия 10 в разделе Создание CSR или вставить в запрос содержимое этого файла в запрос. Этот файл будет зашифрован и будет содержать верхний и нижний колонтитулы для содержимого. При запросе сертификата необходимо включить верхний и нижний колонтитулы. Ваш представитель по обслуживанию клиентов должен выглядеть следующим образом:

Читайте также:  Mesocolumn тема wordpress настройка руководство

Установка сертификата

После того как сторонний ЦС закончит запрос на сертификат сервера, вы получите его по электронной почте или на сайте для скачивания. Сертификат должен быть установлен на веб-сайте, на котором вы хотите обеспечить безопасное взаимодействие.

Чтобы установить сертификат, выполните указанные ниже действия.

  1. Скачайте или скопируйте сертификат, полученный из центра сертификации на веб-сервер.
  2. Откройте консоль управления (MMC) IIS, как описано в разделе Создание отдела CSR .
  3. Доступ к диалоговому окну Свойства для веб-сайта, на котором устанавливается сертификат.
  4. Перейдите на вкладку Безопасность каталога и выберите сертификат сервера. При этом запустится мастер сертификатов веб-сервера. Нажмите кнопку Далее.
  5. Выберите элемент обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.
  6. Перейдите к расположению сертификата, сохраненному на шаге 1. Дважды нажмите кнопку Далее , а затем кнопку Готово.

Принудительное применение SSL-подключений

Теперь, когда сертификат сервера установлен, вы можете принудительно применять безопасные каналы SSL для клиентов веб-сервера. Для начала необходимо включить порт 443 для безопасной связи с веб-сайтом. Для этого выполните следующие действия:

  1. В консоли «Управление компьютером» щелкните правой кнопкой мыши веб-сайт, на котором нужно включить SSL, и выберите пункт Свойства.
  2. Перейдите на вкладку веб-сайт . В разделе Идентификация веб-сайта убедитесь, что в поле Порт SSL указано числовое значение 443.
  3. Выберите Дополнительно. Вы должны увидеть два поля. IP-адрес и порт веб-сайта уже должны быть указаны в поле удостоверения для этого веб-сайта. В поле несколько удостоверений SSL для этого веб-сайта выберите Добавить , если порт 443 еще не указан. Выберите IP-адрес сервера и введите числовое значение 443 в поле Порт SSL. Нажмите кнопку ОК.

Теперь, когда порт 443 включен, можно применить SSL-подключения. Для этого выполните следующие действия:

Перейдите на вкладку Безопасность каталога . В разделе безопасная связь теперь можно изменить . Нажмите кнопку Изменить.

Выберите обязательное использование безопасного канала (SSL).

Если вы укажете 128-разрядное шифрование, клиенты, использующие браузер с 40-разрядной или 56-разрядной версией, не смогут поддерживать обмен данными с сайтом, пока не будут обновлены свои силы шифрования.

Источник

Настройка SSL/TLS для MySQL в Ubuntu 16.04

MySQL – самая популярная в мире реляционная система управления базами данных с открытым исходным кодом. Современные менеджеры пакетов упрощают запуск MySQL, однако после установки следует выполнить дополнительную настройку СУБД. В частности, это касается безопасности данных.

По умолчанию MySQL принимает только локальные соединения. Прежде чем настроить поддержку удалённых соединений, очень важно позаботиться о безопасности. Данное руководство поможет настроить MySQL на сервере Ubuntu 16.04 для поддержки удалённых соединений с помощью шифрования SSL/TLS.

Требования

Для работы вам понадобятся два сервера Ubuntu 16.04 (первый будет использоваться в качестве сервера MySQL, второй – в качестве клиента).

  • Пользователь с доступом к sudo на каждом сервере.
  • На сервер MySQL нужно установить серверное программное обеспечение СУБД. Инструкции вы найдёте здесь.
  • На клиенте установите клиентское программное обеспечение MySQL:

sudo apt-get update
sudo apt-get install mysql-client

Проверка состояния SSL/TLS

Примечание: Выполните этот раздел на сервере MySQL.

Подключитесь к серверу MySQL и проверьте текущее состояние SSL/TLS.

Запустите сессию root-пользователя MySQL. Флаг –h позволяет указать локальный loopback-интерфейс IPv4, чтобы клиент подключался к TCP вместо локального сокета. Это позволит проверить статус SSL для TCP-соединений:

mysql -u root -p -h 127.0.0.1

По запросу введите root-пароль MySQL, после чего откроется интерактивная сессия.

Запросите состояние переменных SSL/TLS:

SHOW VARIABLES LIKE ‘%ssl%’;
+—————+———-+
| Variable_name | Value |
+—————+———-+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
| ssl_ca | |
| ssl_capath | |
| ssl_cert | |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | |
+—————+———-+
9 rows in set (0.01 sec)

Переменные have_openssl и have_ssl отключены (отмечены как DISABLED). Это значит, что сервер поддерживает функции SSL, но пока что шифрование не включено.

Проверьте состояние текущего соединения:

\s
—————
mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapper
Connection id: 30
Current database:
Current user: root@localhost
SSL: Not in use
Current pager: stdout
Using outfile: »
Using delimiter: ;
Server version: 5.7.17-0ubuntu0.16.04.1 (Ubuntu)
Protocol version: 10
Connection: 127.0.0.1 via TCP/IP
Server characterset: latin1
Db characterset: latin1
Client characterset: utf8
Conn. characterset: utf8
TCP port: 3306
Uptime: 3 hours 38 min 44 sec
Threads: 1 Questions: 70 Slow queries: 0 Opens: 121 Flush tables: 1 Open tables: 40 Queries per second avg: 0.005
—————

На данный момент подключение не использует SSL даже несмотря на то, что это TCP-подключение.

Закройте текущую сессию MySQL:

Генерирование SSL/TLS-сертификатов и ключей

Примечание: Данный раздел также выполняется на сервере MySQL.

Чтобы включить поддержку SSL в MySQL, сначала нужно сгенерировать соответствующий сертификат и ключ. Утилита mysql_ssl_rsa_setup, которая поставляется вместе с MySQL 5.7+, позволяет ускорить этот процесс. Ubuntu 16.04 предоставляет версию MySQL, совместимую с этой утилитой.

Файлы будут созданы в каталоге данных MySQL, /var/lib/mysql. Процесс MySQL должен иметь возможность читать сгенерированные файлы, поэтому в качестве владельца сгенерированных файлов нужно указать пользователя mysql:

sudo mysql_ssl_rsa_setup —uid=mysql

При этом будет сгенерирован такой вывод:

Читайте также:  Настройка настольных электронных часов китай настольные

Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘ca-key.pem’
——
Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘server-key.pem’
——
Generating a 2048 bit RSA private key
. +++
. +++
writing new private key to ‘client-key.pem’
——

Проверьте созданные файлы:

sudo find /var/lib/mysql -name ‘*.pem’ -ls
256740 4 -rw-r—r— 1 mysql mysql 1078 Mar 17 17:24 /var/lib/mysql/server-cert.pem
256735 4 -rw——- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/ca-key.pem
256739 4 -rw-r—r— 1 mysql mysql 451 Mar 17 17:24 /var/lib/mysqlsql/public_key.pem
256741 4 -rw——- 1 mysql mysql 1679 Mar 17 17:24 /var/lib/mysqlsql/client-key.pem
256737 4 -rw-r—r— 1 mysql mysql 1074 Mar 17 17:24 /var/lib/mysqlsql/ca.pem
256743 4 -rw-r—r— 1 mysql mysql 1078 Mar 17 17:24 /var/lib/mysqlsql/client-cert.pem
256736 4 -rw——- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/private_key.pem
256738 4 -rw——- 1 mysql mysql 1675 Mar 17 17:24 /var/lib/mysqlsql/server-key.pem

В последнем столбце показаны имена сгенерированных файлов. Столбцы, в которых содержится значение «mysql», указывают, что сгенерированные файлы имеют принадлежат правильному пользователю и группе.

Эти файлы – это ключи и сертификаты для центра сертификации (название файла начинается с «ca»), а также для сервера и клиента MySQL (файлы с названиями server и client соответственно). Файлы private_key.pem и public_key.pem MySQL использует для безопасной передачи паролей вне SSL.

Включение SSL на сервере MySQL

Современные версии MySQL ищут файлы сертификатов в каталоге данных MySQL при запуске сервера. Потому для включения поддержки SSL не нужно изменять конфигурацию MySQL.

Достаточно просто перезапустить сервис MySQL:

sudo systemctl restart mysql

После перезапуска откройте сессию MySQL. Клиент MySQL автоматически попытается подключиться по SSL, если сервер поддерживает такие изменения.

mysql -u root -p -h 127.0.0.1

Попробуйте снова запросить состояние переменных SSL:

SHOW VARIABLES LIKE ‘%ssl%’;
+—————+——————+
| Variable_name | Value |
+—————+——————+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | ca.pem |
| ssl_capath | |
| ssl_cert | server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | server-key.pem |
+—————+——————+
9 rows in set (0.00 sec)

Теперь вместо DISABLED переменные have_openssl и have_ssl имеют значение YES. Кроме того, переменные ssl_ca, ssl_cert и ssl_key теперь содержат имена соответствующих файлов.

Снова введите команду:

\s
—————
. . .
SSL: Cipher in use is DHE-RSA-AES256-SHA
. . .
Connection: 127.0.0.1 via TCP/IP
. . .
—————

На этот раз отображается специальный SSL-шифр, а это значит, что для защиты соединения используется SSL.

Вернитесь в оболочку:

Теперь сервер поддерживает шифрование данных.

Настройка защищенных подключений для удаленных клиентов

Теперь, когда сервер поддерживает SSL, можно начать настройку безопасного удаленного доступа. Для этого необходимо:

  • Настроить поддержку удаленных подключений только по SSL.
  • Подключиться к общедоступному интерфейсу.
  • Создать пользователя MySQL для удаленных подключений.
  • Настроить брандмауэр для поддержки внешних подключений.

Настройка удаленного доступа

На данный момент сервер MySQL поддерживает подключения SSL от клиентов. Но он также поддерживает и незашифрованные удалённые соединения, а это небезопасно.

Чтобы исправить это, нужно включить опцию require_secure_transport, которая включает ограничение удалённых соединений и поддерживает только SSL или соединения по локальному сокету Unix.

Поскольку сокеты доступны только внутренним подключениям сервера, единственным способом подключения, доступным для удаленных пользователей, будет SSL.

Чтобы включить этот параметр, откройте файл /etc/mysql/my.cnf в текстовом редакторе:

sudo nano /etc/mysql/my.cnf

В файле вы найдёте две директивы !includedir для ссылки на дополнительные конфигурационные файлы. Нужно разместить свои настройки под этими строками, чтобы они переопределяли конфликтующие настройки.

Создайте раздел [mysqld], чтобы определить процесс MySQL. Добавьте директиву require_secure_transport со значением ON.

. . .
!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/
[mysqld]
# Require clients to connect either using SSL
# or through a local socket file
require_secure_transport = ON

Эта строка делает обязательным шифрование соединений.

По умолчанию MySQL прослушивает только соединения, поступающие от локальной машины. Чтоб ынастроить прослушивание удалённых соединений, укажите другой интерфейс в bind-address.

Чтобы система MySQL могла принимать соединения на любой свой интерфейс, укажите в bind-address значение 0.0.0.0.

. . .
!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/
[mysqld]
# Require clients to connect either using SSL
# or through a local socket file
require_secure_transport = ON
bind-address = 0.0.0.0

Сохраните и закройте файл.

sudo systemctl restart mysql

Убедитесь, что MySQL прослушивает 0.0.0.0 вместо 127.0.0.1.

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 4330/mysqld
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1874/sshd
tcp6 0 0 . 22 . * LISTEN 1874/sshd

Как видите, теперь MySQL прослушивает 0.0.0.0, то есть поддерживает соединения на всех интерфейсах.

Теперь нужно открыть MySQL в брандмауэре.

sudo ufw allow mysql
Rule added
Rule added (v6)

Настройка удаленного пользователя MySQL

Теперь сервер MySQL прослушивает удаленные соединения, но в настоящее время нет пользователей, которые могли бы подключаться с внешних машин.

Откройте сессию root-пользователя MySQL:

Создайте нового удалённого пользователя с помощью команды CREATE USER.

Используйте IP-адрес клиентского компьютера в качестве хоста нового пользователя, чтобы ограничить подключение к этой машине.

На случай если опция require_secure_transport будет отключена, добавьте REQUIRE SSL, чтобы ограничить пользователя только SSL-соединениями.

CREATE USER ‘remote_user’@’mysql_client_IP’ IDENTIFIED BY ‘password’ REQUIRE SSL;

Затем предоставьте пользователю права на требуемые базы данных или таблицы. Для примера создайте базу данных example и передайте новому пользователю право на неё:

Читайте также:  Основные настройки трактор про

CREATE DATABASE example;
GRANT ALL ON example.* TO ‘remote_user’@’mysql_client_IP’;

Затем очистите привилегии, чтобы обновить настройки БД:

Закройте оболочку MySQL:

Тестирование удалённых подключений

Примечание: Этот подраздел нужно выполнить на клиенте MySQL.

Подключитесь к клиенту MySQL и убедитесь, что можете создать удалённое подключение к серверу. Опция –u указывает удалённого пользователя, -h задаёт IP-адрес MySQL.

mysql -u remote_user -p -h mysql_server_IP

Предоставьте пароль указанного в команде пользователя, после чего вы будете подключены к удалённому серверу.

Убедитесь, что подключение шифруется:

\s
—————
. . .
SSL: Cipher in use is DHE-RSA-AES256-SHA
. . .
Connection: mysql_server_IP via TCP/IP
. . .
—————

Вернитесь в оболочку системы:

Попробуйте создать соединение без шифрования:

mysql -u remote_user -p -h mysql_server_IP —ssl-mode=disabled

После запроса пароля соединение будет сброшено:

ERROR 1045 (28000): Access denied for user ‘remote_user’@’mysql_server_IP’ (using password: YES)

Как видите, поддерживаются только SSL-соединения, а незашифрованные соединения сбрасываются.

На данный момент сервер MySQL поддерживает безопасные удалённые подключения. В целом, этого достаточно для обеспечения безопасности данных. Однако есть некоторые дополнительные рекомендации, которые можно использовать.

Проверка подлинности подключений MySQL (опционально)

В настоящее время сервер MySQL использует SSL-сертификат, подписанный сгенерированным на локальной машине центром сертификации (CA). Сертификата сервера и пары ключей будет достаточно для шифрования входящих соединений.

Центр сертификации может также подтвердить подлинность сервера или клиента, но на данный момент эта функция не используется. Создайте сертификат CA и ключи для клиентов, тогда обе стороны смогут предоставить сертификаты, подписанные доверенным центром и подтверждающие их подлинность. Это предотвратит подделку соединений вредоносными серверами.

Чтобы настроить проверку подлинности, нужно:

  • Передать соответствующие файлы SSL на клиентский компьютер.
  • Создать файл конфигурации клиента.
  • Откорректировать параметры удаленного пользователя и настроить запрос доверенного сертификата.

Перемещение сертификата на клиент

Передайте файлы сертификата клиента MySQL с сервера на клиентскую машину.

Подключитесь к клиенту MySQL. В домашнем каталоге создайте каталог для хранения сертификатов, client-ssl.

Ключ сертификата нужно хранить в секрете. Ограничьте доступ к каталогу, в котором хранится ключ.

Теперь права доступа есть только у текущего пользователя.

Скопируйте сертификат с сервера на клиент.

Перейдите на сервер MySQL и отобразите содержимое следующего файла:

sudo cat /var/lib/mysql/ca.pem
——BEGIN CERTIFICATE——
. . .
——END CERTIFICATE——

Скопируйте весь результат (включая строки BEGIN CERTIFICATE и END CERTIFICATE).

Вернитесь на клиент MySQL, создайте файл в каталоге для сертификатов:

Вставьте в него скопированный сертификат. Сохраните и закройте файл.

Вернитесь на сервер MySQL и отобразите содержимое файла:

sudo cat /var/lib/mysql/client-cert.pem
——BEGIN CERTIFICATE——
. . .
——END CERTIFICATE——

Снова скопируйте весь результат (включая строки BEGIN CERTIFICATE и END CERTIFICATE).

Перейдите на клиент MySQL и создайте файл в каталоге для сертификатов:

Вставьте в него скопированный сертификат, сохраните и закройте файл.

Снова вернитесь на сервер MySQL и отобразите содержимое следующего файла:

sudo cat /var/lib/mysql/client-key.pem
——BEGIN RSA PRIVATE KEY——
. . .
——END RSA PRIVATE KEY——

Скопируйте полученный результат, включая строки BEGIN CERTIFICATE и END CERTIFICATE.

Вернитесь на клиент MySQL, создайте файл в каталоге:

В этот файл вставьте скопированные данные, сохраните и закройте файл.

Теперь у клиента есть все необходимые данные для подтверждения подлинности соединения.

Настройка удаленного пользователя

В настоящее время клиент MySQL имеет все необходимые файлы сертификата, которые можно использовать при подключении к серверу. Однако сервер по-прежнему не поддерживает сертификаты клиента.

Перейдите на сервер MySQL. Откройте сессию пользователя root в MySQL:

Измените параметры удалённого пользователя. Вместо REQUIRE SSL укажите REQUIRE X509. Теперь, помимо обязательного SSL-соединения, сервер будет запрашивать у удалённого пользователя сертификат, подписанный центром, которому доверяет сервер MySQL.

Чтобы изменить параметры пользователя, введите:

ALTER USER ‘remote_user’@’mysql_client_IP’ REQUIRE X509;

Вернитесь в стандартную оболочку:

Тестирование проверки подлинности соединений

Теперь нужно убедиться, что сервер запрашивает сертификат клиента.

Перейдите на клиентскую машину MySQL и попробуйте создать соединение без сертификата.

mysql -u remote_user -p -h mysql_server_IP
ERROR 1045 (28000): Access denied for user ‘remote_user’@’mysql_client_IP’ (using password: YES)

Как видите, без сертификата клиент не сможет создать удалённое подключение.

Теперь добавьте в команду опции —ssl-ca, —ssl-cert и —ssl-key, в которых нужно указать путь к соответствующим файлам сертификата:

mysql -u remote_user -p -h mysql_server_IP —ssl-ca=

Сервер должен принять такое подключение. Закройте сессию MySQL:

Создание конфигурационного файла клиента

Чтобы не указывать файлы сертификатов при каждом подключении, можно создать простой файл конфигурации клиента MySQL.

Подключитесь к клиенту MySQL.

Откройте домашний каталог и создайте в нём скрытый файл

Добавьте в файл раздел [client]. В нём можно указать опции ssl-ca, ssl-cert и ssl-key со всеми путями к соответствующим файлам.

Опция ssl-ca проверяет сертификат сервера MySQL и подтверждает, что он подписан центром, которому можно доверять.

Опции ssl-cert и ssl-key указывают пути к файлам сертификата и ключа, которые позволяют подтвердить подлинность сертификата.

Сохраните и закройте файл.

Попробуйте подключиться к серверу MySQL, не добавляя в команду опции —ssl-ca, —ssl-cert и —ssl-key.

mysql -u remote_user -p -h mysql_server_ip

Теперь клиент и сервер могут подтвердить свою подлинность.

Добавить комментарий Отменить ответ

Для отправки комментария вам необходимо авторизоваться.

Источник

Adblock
detector